A implementação de ferramentas tecnológicas cada vez mais integradas, na área da saúde, é acompanhada pela crescente preocupação com a cibersegurança e segurança da informação. Para se extrair o melhor que as inovações podem oferecer, as empresas devem incorporar, além das regulamentações pertinentes, como a Lei Geral de Proteção de Dados (LGPD), as melhores práticas. A avaliação é do diretor de segurança e infraestrutura de TI da Amil, Cássio Menezes, que complementa que “a segurança precisa ser alavancadora da adoção de novas tecnologias”.
Em entrevista para o Próximo Nível, Menezes falou sobre os desafios da segurança cibernética, sobre a interferência de novas tecnologias e sobre as melhores práticas que a Amil e outras empresas podem e devem utilizar para evitar incidentes. Confira os detalhes.
Para começar, poderia dimensionar a importância da cibersegurança na área da saúde?
As boas práticas de cibersegurança na área da saúde são muito relevantes, sobretudo porque temos um volume muito grande de dados sensíveis processados e tratados. Com a LGPD, essa segurança se tornou uma responsabilidade ainda maior, porque estamos falando de dados de saúde, de diagnósticos, informações que são importantes tanto no âmbito do negócio do operador, o plano de saúde, quanto no do negócio de entrega de cuidados, que são os hospitais.
Para termos uma ideia da importância desses dados, eles estão sendo mais procurados na deep web do que os dados financeiros, por exemplo. A interrupção de uma infraestrutura crítica, no caso de uma instituição de saúde, pode causar danos e riscos à vida de pessoas. Há casos de hospitais no exterior que sofreram com ataques de ransomware e tiveram monitores, que garantiam a sobrevivência de pacientes, paralisados. Isso, infelizmente, resultou em óbitos. É aí que você percebe a importância que tem a cibersegurança no nosso mercado.
Outra questão que está mais acentuada devido à disseminação do meio digital na área da saúde são as fraudes. A grande maioria das fraudes acontece por meios digitais e a cibersegurança está aí para nos ajudar a proteger e garantir receita, além de evitar perdas.
Quais são os principais desafios de cibersegurança que as instituições de saúde enfrentam atualmente?
Temos um desafio forte por conta de sistemas legados. Muitas instituições de saúde ainda operam com sistemas legados e infraestruturas obsoletas. Isso faz com que sejam alvos de ataques cibernéticos.
Os sistemas de engenharia clínica muitas vezes não são embarcados com as mesmas tecnologias de segurança que os ambientes comuns de TI. Portanto, trazem um desafio muito maior no que se refere à segurança cibernética e acabam também sendo alvos de ataques, às vezes paralisando operações e outras incorrendo até em riscos e ameaças à vida de pacientes.
Em geral, a cadeia de suprimentos no mercado de saúde envolve muitos componentes e muitos atores. Portanto, o risco de ataques a terceiros precisa ser considerado. Então, esse também é um desafio importante para a segurança da informação.
As fraudes também figuram entre os principais desafios. Elas são executadas em sua maioria por sistemas digitais e, por isso, quem atua com segurança cibernética precisa olhar para controles antifraude para evitar perdas, prejuízo financeiro e prejuízo reputacional.
E em relação às novas tecnologias?
Quando se fala, por exemplo, em inteligência artificial e machine learning, cada vez mais se tem riscos e ameaças voltadas ao uso dessas tecnologias. E aí eu já faço um preâmbulo: a segurança da informação precisa ser alavancadora da adoção de novas tecnologias. Isso porque a gente sabe que essas ferramentas trazem inúmeros benefícios para o negócio, mas é preciso ter muita cautela no uso, além da correta noção dos riscos.
Poderia dar um exemplo?
Imagine um sistema de machine learning ou de inteligência artificial que ajuda um radiologista a laudar um exame de imagem. Sabemos que existem sistemas de IA super poderosos que analisam imagens com precisão e que direcionam e facilitam o trabalho do ser humano. Isso é ótimo para ganhar escala e baratear o custo do exame.
Mas, se houver um envenenamento de dados ou um ataque em cima da base de dados usada para treinar esse modelo de IA, existe o risco de que algumas decisões sejam tomadas de forma errada. Isso pode ser catastrófico, então, perceba a importância da segurança cibernética com relação ao uso da IA. A segurança precisa ser pré-requisito na adoção de novas tecnologias, olhando com viés de controle, prevenção de riscos e até mesmo de reação e resposta a incidentes.
Como a Amil endereça essa questão de segurança na prática?
Nós temos um programa de segurança da informação que é revisitado, periodicamente, junto com todas as áreas de negócio. Mas eu vou resumir em um termo: resiliência cibernética. O nosso foco é trabalhar com resiliência cibernética, ou seja, além de atuar com a prevenção a incidentes, por meio do monitoramento contínuo, trabalhamos a capacidade de reação e de resposta ao incidente. Até porque, querendo ou não, um risco pode se materializar em algum momento e o programa de resiliência cibernética vai trazer exatamente essa capacidade de reagir rapidamente.
Essa agilidade possibilita recuperar a operação do negócio em sua normalidade e não afetar a cadeia produtiva em nenhum dos seus elos. Então, o nosso foco é atuar na resiliência cibernética para não só prevenir, ter poder de detecção e identificação de incidentes, mas também ser capaz de reagir rapidamente quando algum problema acontecer.
De que forma a inteligência artificial pode contribuir para esse objetivo?
Estamos tentando, cada vez mais, adotar a inteligência artificial e tecnologias de machine learning junto às ferramentas de segurança que a Amil aporta. Assim, esperamos não só acelerar as respostas a incidentes e as detecções de riscos, mas também aumentar a nossa capacidade de visibilidade. Atualmente, há uma heterogeneidade gigante de sistemas, o que dificulta a visão do todo.
Nesse sentido, a inteligência artificial vai ser útil, ao permitir maior velocidade nas ações de resposta a incidentes, quando a gente precisa recuperar algum negócio, recuperar processos e mitigar impactos.
Como você avalia a importância do treinamento em cibersegurança para os profissionais de saúde?
Quando se trata de segurança da informação, precisamos abordar as questões de tecnologia e também de processos, mas há um ponto muito importante: as pessoas. São elas que conduzem esses processos e pilotam essas tecnologias. É uma camada de defesa, e eu diria que é a mais importante delas.
Investir em conscientização e embutir o tema na cultura da organização, para que as pessoas possam entender quais são os riscos, é uma forma de fazer com que elas se sintam, também, responsáveis por cuidar das informações da companhia. Contemplar tanto o pessoal do administrativo quanto do atendimento nesse processo é um desafio enorme. Para chamar a atenção desses profissionais, que têm uma rotina bastante atarefada, e fazer com que tenham a real noção que também são responsáveis pela proteção dos dados dos clientes, é necessário promover workshops, investir em simulações de crise cibernética e em treinamentos de golpes.
Ou seja, quando a segurança da informação está em pauta, devemos olhar para três aspectos: (1) tecnologia, (2) processos e (3) pessoas. Não podemos deixar de olhar para nenhum desses, lembrando que a parte que se refere às pessoas é fundamental. Mesmo que a empresa tenha um processo maduro e seguro, e tecnologia bem implementada para prevenir ataques e vazamentos de dados, o uso indevido de um recurso pode comprometer toda a segurança do sistema.
Em termos de regulamentação, quais regras o setor deve seguir para garantir a segurança dos dados?
No Brasil, a Lei Geral de Proteção de Dados (LGPD) fala, de uma certa forma, sobre segurança da informação como um princípio fundamental em relação aos direitos dos titulares de dados. Os dados de saúde, categorizados como dados sensíveis, precisam de maior proteção. A LGPD foi fundamental para as empresas de saúde alavancarem seus controles focados na proteção dos dados.
A gente tem frameworks de normas internacionais voltadas para área de saúde que muitas vezes nos apoiam em nossas boas práticas. A HIPAA, por exemplo, é uma lei norte-americana que fala muito sobre segurança de dados de saúde e pode nos ajudar a amadurecer a questão de segurança. Vejo que o Brasil tem a possibilidade de avançar na regulamentação de dados de saúde para alavancar ainda mais a proteção das informações dos nossos pacientes.
Como a Amil tem endereçado, para além da regulamentação, essa pauta?
As regulamentações nos dão uma diretriz no que diz respeito à segurança de dados, vide a LGPD. Mas, para além dela, existem diversos frameworks no mercado e a gente faz o uso de alguns deles de forma complementar ao que pede a legislação. Posso resumi-los em cinco pontos principais: (1) criptografia, seja em trânsito ou em repouso, (2) de acesso a dados baseado em privilégios mínimos, (3) auditoria e monitoramento contínuo no uso do sistema e dos dados, (4) backups regulares e (5) gestão de riscos, inclusive de terceiros.
De que maneira a Embratel tem ajudado a Amil a alcançar a resiliência cibernética?
A parceria entre a Amil e Embratel se concentra muito na implementação de soluções de conectividade segura e de infraestrutura de TI. Então, a gente utiliza os serviços da Embratel, não só de comunicação de dados, mas também de data centers. Há um suporte apoiado em infraestrutura tecnológica que soluciona questões de contingência, recuperação de desastres, entre outros aspectos.
Como você vê o futuro da cibersegurança na área da saúde nos próximos anos? Quais tendências você acredita que devemos observar?
Eu diria que uma das tendências é evoluir na contenção de incidentes de ransomware, sobretudo por conta dos ambientes legados, voltados a equipamentos médicos.
Um outro desafio que vem pela frente é lidar com inteligência artificial, que tem tido cada vez mais adoção na área da saúde. Vou colocar aqui, nesse contexto, pelo menos dois vieses voltados à segurança: a segurança para a inteligência artificial que vai ser adotada num sistema de negócio e o uso da IA para benefício da segurança – ou seja, a IA também pode contribuir para a detecção de riscos.
O terceiro desafio seria a segurança de terceiros, porque a cadeia de suprimentos do negócio de saúde é muito distribuída, com diversos atores. Muitas vezes, os processos de negócio são complexos e contam com diversas fases conduzidas por diferentes parceiros.
